Le phishing, c’est quoi ? Définition, exemple et conseils pour détecter une attaque d’hameçonnage…

S’il y a bien un fléau sur internet, c’est bien le phishing. On reçoit de plus en plus d’e-mails, qui se font passer pour de grandes entreprises (banques, chaînes de magasin, entités gouvernementales etc), et qui en réalité sont envoyées par des individus aux intentions malhonnêtes. Parfois, ces e-mails sont tellement mal conçus qu’on identifie le loup, mais souvent, ces e-mails imitent parfaitement les entreprises dont elles usurpent l’identité, et on est à un clic de faire une erreur monumentale…

Pour comprendre ce « phénomène », on va expliquer en détails ce qu’est le phishing, quels secteurs cela vise en priorité, et surtout comment se prémunir et identifier une attaque de phishing, afin de se protéger contre le vol de vos données.

Le phishing pour les nuls : qu’est-ce que c’est ?

Vous avez probablement déjà entendu parler du terme « phishing », mais savez-vous réellement de quoi il s’agit ? Le phishing, ou hameçonnage en français, est une technique frauduleuse utilisée par des cybercriminels pour obtenir des informations confidentielles comme des mots de passe, des informations bancaires ou des numéros de carte de crédit. Cette méthode repose sur l’envoi de faux e-mails ou de SMS, qui semblent provenir d’organisations légitimes comme des banques, des entreprises ou des institutions gouvernementales.

Le phishing peut même apparaître sous format papier, par l’envoi d’un courrier invitant le destinataire à se rendre sur un site web, ressemblant fortement à l’entreprise qu’elle prétend être. Il y a des cas de courriers incluant même des QR codes, invitant les destinataires à les scanner pour payer une amende, obtenir un cadeau… Et sur mobile, on est moins vigilant que sur ordinateur, la faute à un écran plus petit, sur lequel on voit moins les détails. Dans tous les cas, ces messages incitent souvent les destinataires à fournir leurs informations personnelles, en cliquant sur des liens malveillants ou en répondant directement au message.

Les cybercriminels utilisent diverses techniques pour rendre leurs messages de phishing plus convaincants, notamment en imitant les logos et les mises en page des entreprises usurpées. Ils peuvent également utiliser des stratégies de manipulation psychologique pour inciter les destinataires à agir rapidement, comme le FOMO, en évoquant des menaces potentielles comme la suspension de compte ou la perte d’accès à des services en ligne.

Comment les pirates réussissent à obtenir votre adresse e-mail ?

Vous vous demandez peut-être comment les pirates informatiques parviennent à mettre la main sur votre adresse e-mail, leur permettant ainsi de l’utiliser dans le cadre de campagnes de phishing. Voici quelques-uns des moyens les plus courants :

• Fuites de données : Les fuites de données sont l’une des principales sources d’adresses e-mail pour les cybercriminels. Lorsqu’une entreprise subit une violation de données, les pirates peuvent accéder à une grande quantité d’informations personnelles, y compris des adresses e-mail, qu’ils peuvent ensuite utiliser dans des campagnes de phishing. Il est important de surveiller régulièrement les actualités concernant les violations de données et de prendre des mesures pour protéger vos informations en cas de fuite.
• Collecte automatisée sur le web : Les pirates peuvent utiliser des programmes automatisés pour collecter des adresses e-mail à partir de sites web, de forums en ligne, de réseaux sociaux et d’autres sources publiques. Ces programmes parcourent le web à la recherche d’adresses e-mail exposées publiquement, qu’ils rassemblent ensuite dans une base de données pour une utilisation ultérieure dans des campagnes de phishing. Veillez à ne pas publier votre adresse e-mail de manière trop visible sur Internet et à utiliser des mesures de sécurité telles que des adresses e-mail jetables lorsque vous vous inscrivez sur des sites web non vérifiés.
• Intrusion dans les bases de données : Les pirates peuvent également s’infiltrer directement dans les bases de données des entreprises ou des organisations pour accéder aux adresses e-mail de leurs clients ou de leurs membres. Cette méthode nécessite souvent des compétences techniques avancées, mais elle peut fournir aux pirates un accès à un grand nombre d’adresses e-mail en une seule fois. Assurez-vous de choisir des mots de passe robustes et de mettre à jour régulièrement vos informations d’identification pour réduire le risque d’intrusion dans vos comptes en ligne.
• Phishing préalable : Les cybercriminels peuvent également utiliser des campagnes de phishing ciblées pour collecter des adresses e-mail. Ils envoient des e-mails ou des messages SMS frauduleux à un grand nombre de personnes, en prétendant être une entreprise légitime et en demandant aux destinataires de confirmer leurs informations personnelles en cliquant sur un lien fourni. Les personnes qui tombent dans le piège et fournissent leurs informations deviennent alors des cibles potentielles pour des attaques de phishing ultérieures.

À quoi peuvent servir concrètement les données collectées via l’hameçonnage ?

Une fois que les cybercriminels ont réussi à obtenir des informations sensibles grâce au phishing, ils peuvent les utiliser à des fins diverses et souvent néfastes. Voici quelques-uns des usages les plus courants pour les données collectées via l’hameçonnage :

• Fraude bancaire : Les informations bancaires telles que les numéros de carte de crédit et les identifiants de connexion peuvent être utilisées pour effectuer des transactions frauduleuses ou pour vider les comptes bancaires des victimes.
• Vol d’identité : Les cybercriminels peuvent utiliser les informations personnelles des victimes, telles que leur nom, leur adresse et leur numéro de sécurité sociale, pour commettre des actes d’usurpation d’identité, tels que l’ouverture de comptes en ligne ou la demande de crédit en leur nom.
• Escroqueries en ligne : Les données collectées via le phishing peuvent également être utilisées pour mener diverses formes d’escroqueries en ligne, telles que la vente de produits contrefaits ou la proposition de faux investissements.

Quels secteurs sont les plus attaqués par des campagnes de phishing ?

Aucun secteur n’est à l’abri des attaques de phishing, mais certains sont plus souvent ciblés que d’autres en raison de la sensibilité des informations qu’ils détiennent ou de la popularité de leurs services en ligne. Voici quelques-uns des secteurs les plus attaqués par des campagnes de phishing :

• Secteur bancaire : Les institutions financières sont souvent la cible de cybercriminels en raison de la valeur des informations bancaires qu’elles détiennent. Les faux e-mails prétendant provenir de banques sont courants dans les campagnes de phishing.
• Commerce en ligne : Les entreprises e-commerce comme Amazon sont régulièrement ciblées par des cybercriminels, en raison de la quantité de données personnelles et financières stockées dans leurs bases de données. Les e-mails de phishing prétendant être des confirmations de commande ou des demandes de vérification de compte sont fréquents.
• Secteur gouvernemental : Les agences gouvernementales et les organismes publics, comme le site des impôts, la plate-forme du CPF, sont également des cibles populaires pour les attaques de phishing, car elles détiennent souvent des informations sensibles sur les citoyens. Les faux e-mails prétendant provenir d’organismes gouvernementaux demandant des informations personnelles sont courants.

Vous l’aurez compris, le phishing représente une menace sérieuse pour les entreprises et les particuliers, et il faut rester vigilant et prendre des mesures pour se protéger contre cette forme de cybercriminalité. Pour vous aider à y voir plus clair, voyons ensemble quelques exemples de phishing.

Des exemples de campagnes de phishing réels reçus en 2024

Pour illustrer le phishing, rien de mieux que des exemples concrets de campagnes reçues sur une boite e-mail réelle :

Orange, Action, Orange Bank, Cdiscount, Lidl, Cdiscount… la plupart des campagnes de phishing vont utiliser des noms d’enseignes populaires, dans l’espoir que le destinataire soit client de l’une des enseignes, pour lui donner envie d’ouvrir l’e-mail.

Quand on ouvre l’un de ces e-mails, voici ce que l’on voit :

Comme vous pouvez le voir sur le lien ci-dessus, l’adresse e-mail de l’expéditeur est le premier indice qui doit mettre la puce à l’oreille. Elle est accompagnée d’une adresse e-mail de destinataire, qui a pour but de tromper l’internaute. L’e-mail imite parfaitement le logo, mais la mise en page semble hasardeuse et laisse à penser qu’il s’agit d’une arnaque.

Nos conseils pour détecter une attaque de phishing

Il faut partir du principe que les attaques de phishing deviennent de plus en plus sophistiquées. Voilà pourquoi il est important de pouvoir repérer les signes révélateurs d’une tentative d’hameçonnage. Voici quelques conseils pour vous aider à détecter une attaque de phishing :

1. Fiez-vous à votre instinct : Ce conseil peut paraître étrange, mais souvent, en ouvrant un e-mail contenant des liens d’hammeçonages, on a la sensation que quelque chose est étrange, car on n’attend pas de colis de la part de Chronopost, ou encore Amazon n’offre jamais de cadeau à ses clients… quand c’est trop beau pour être vrai, cela doit vous alerter.
2. Vérifiez l’adresse e-mail de l’expéditeur : Les cybercriminels utilisent souvent des adresses e-mail qui ressemblent à s’y méprendre à celles d’entreprises légitimes, mais comportent des variations subtiles. Assurez-vous de vérifier attentivement l’adresse e-mail de l’expéditeur pour repérer d’éventuelles anomalies, comme des fautes d’orthographe ou des caractères étranges.
3. Méfiez-vous des demandes urgentes : Les messages de phishing ont souvent recours à des techniques de manipulation émotionnelle, pour inciter les destinataires à agir rapidement, en évoquant des menaces imminentes ou des opportunités rares et limitées. Si un message vous demande de fournir des informations sensibles de manière urgente, prenez du recul et vérifiez l’authenticité de la demande. Ne cédez jamais à l’urgence, rien n’est urgent sur internet.
4. Ne cliquez pas sur les liens suspects : Avant de cliquer sur un lien contenu dans un e-mail ou un SMS, survolez-le avec votre souris pour afficher l’URL de destination. Si l’URL semble suspecte ou ne correspond pas à l’entreprise prétendument représentée, ne cliquez pas dessus. Il est préférable de se rendre directement sur le site officiel de l’entreprise en question, en utilisant une nouvelle fenêtre de navigateur.
5. Analysez le contenu du message : Soyez attentif à la qualité rédactionnelle et à la cohérence du contenu du message. Les messages de phishing sont souvent truffés de fautes d’orthographe, de grammaire incorrecte ou de phrases incohérentes… même si les pirates font des efforts à ce sujet, notamment en utilisant des logiciels de correction d’orthographe. Malgré tout, si le message semble mal écrit ou peu professionnel, il y a de fortes chances qu’il s’agisse d’une tentative de phishing.
6. Vérifiez les demandes de données sensibles : Soyez réticents face aux demandes de données personnelles ou financières, surtout si elles semblent excessives ou injustifiées. Les entreprises légitimes n’ont généralement pas besoin de vous demander des informations sensibles par e-mail ou SMS, surtout si vous n’avez pas sollicité de leur part.

En suivant ces conseils simples mais efficaces, vous pouvez renforcer votre vigilance et réduire le risque de devenir une victime de phishing. Et surtout, privilégiez toujours d’aller à la source, si une information vous paraît douteuse : plutôt que de cliquer sur le lien suspect des impôts par exemple, pour payer une amende, rendez-vous directement sur le site web officiel des impôts pour vérifier l’éventuelle présence d’une amende… ou non.

[Nouveau] 4 ebooks sur le digital marketing à télécharger gratuitement

Cet article vous a plu ? Recevez nos prochains articles par mail

D’autres articles sur le même thème :